我有2个IAM用户(A & B),他们都有管理员权限。以 "A "身份登录后,我在KMS中创建了一个CMK,并且只指定 "A "为 "密钥管理员 "和 "密钥用户"。然而,当我以'B'的身份登录并尝试使用'A'创建的CMK创建一个加密卷时,我仍然能够继续创建卷。当我以'B'身份登录时,我甚至可以禁用密钥。
为什么当'B'没有被添加为密钥策略中的密钥用户时,它仍然能够使用密钥对加密卷进行加密?我是否遗漏了什么概念?
你是否检查过卷是否最终被创建并健康运行?
根据 https:/docs.aws.amazon.comAWSEC2latestAPIReferenceAPI_CreateVolume.html。:
AWS对CMK进行异步验证。因此,如果您指定的ID、别名或ARN无效,该操作可能会出现完成,但最终失败。
同时检查kms密钥策略权限,看看都授予了哪些访问权限。